注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 [业内传闻]今天,7月25日..
 帮助
“绿色IT 从我做起”7月获奖名单  负载均衡技术沙龙现场视频、PPT 博主的更多文章>>

Windows 操作系统中的常见安全标识符

2007-11-13 09:35:35
Windows 操作系统中的常见安全标识符
概要
SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SIDWindows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID SID

SID的作用
用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。

SID号码的组成
如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。

一个完整的SID包括:
用户和组的安全描述
• 48-bitID authority
修订版本
可变的验证值Variable sub-authority values
更多信息
常见 SID
SIDS-1-0
名称:Null Authority
说明:标识符颁发机构。
SIDS-1-0-0
名称:Nobody
说明:无安全主体。
SIDS-1-1
名称:World Authority
说明:标识符颁发机构。
SIDS-1-1-0
名称:Everyone
说明:包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。

注意:默认情况下,在运行 Windows XP Service Pack 2 (SP2) 的计算机上,Everyone 组不再包括匿名用户。
SIDS-1-2
名称:Local Authority
说明:标识符颁发机构。
SIDS-1-3
名称:Creator Authority
说明:标识符颁发机构。
SIDS-1-3-0
名称:Creator Owner
说明:可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时,系统用对象创建者的 SID 替换此 SID
SIDS-1-3-1
名称:Creator Group
说明:可继承 ACE 中的占位符。当 ACE 被继承时,系统用对象创建者的主要组的 SID 替换此 SID。主要组仅供 POSIX 子系统使用。
SIDS-1-3-2
名称:Creator Owner Server
说明:Windows 2000 中不使用此 SID
SIDS-1-3-3
名称:Creator Group Server
说明:Windows 2000 中不使用此 SID
SIDS-1-4
名称:Non-unique Authority
说明:标识符颁发机构。
SIDS-1-5
名称:NT Authority
说明:标识符颁发机构。
SIDS-1-5-1
名称:Dialup
说明:一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。
SIDS-1-5-2
名称:Network
说明:一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。
SIDS-1-5-3
名称:Batch
说明:一个包括所有通过批队列功能登录的用户的组。成员身份由操作系统控制。
SIDS-1-5-4
名称:Interactive
说明:一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。
SIDS-1-5-5-X-Y
名称:Logon Session
说明:登录会话。这些 SID X Y 值因会话而异。
SIDS-1-5-6
名称:Service
说明:一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
SIDS-1-5-7
名称:Anonymous
说明:一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
SIDS-1-5-8
名称:Proxy
说明:Windows 2000 中不使用此 SID
SIDS-1-5-9
名称:Enterprise Domain Controllers
说明:一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。
SIDS-1-5-10
名称:Principal Self
说明:Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时,系统用持有此帐户的安全主体的 SID 替换此 SID
SIDS-1-5-11
名称:Authenticated Users
说明:一个包括所有登录时已经过身份验证的用户的组。成员身份由操作系统控制。
SIDS-1-5-12
名称:Restricted Code
说明:此 SID 保留供以后使用。
SIDS-1-5-13
名称:Terminal Server Users
说明:一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。
SIDS-1-5-18
名称:Local System
说明:操作系统使用的服务帐户。
SIDS-1-5-19
名称:NT Authority
说明:本地服务
SIDS-1-5-20
名称:NT Authority
说明:网络服务
SIDS-1-5-domain-500
名称:Administrator
说明:系统管理员的用户帐户。默认情况下,它是唯一能够完全控制系统的用户帐户。
SIDS-1-5-domain-501
名称:Guest
说明:无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。
SIDS-1-5-domain-502
名称:KRBTGT
说明:密钥分发中心 (KDC) 服务使用的服务帐户。
SIDS-1-5-domain-512
名称:Domain Admins
说明:一个全局组,其成员被授权管理该域。默认情况下,Domain Admins 组属于所有加入域的计算机(包括域控制器)上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。
SIDS-1-5-domain-513
名称:Domain Users
说明:一个全局组,默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时,默认情况下,帐户将添加到该组中。
SIDS-1-5-domain-514
名称:Domain Guests
说明:一个全局组,默认情况下它只有一个成员,即域的内置 Guest 帐户。
SIDS-1-5-domain-515
名称:Domain Computers
说明:一个包括加入域的所有客户端和服务器的全局组。
SIDS-1-5-domain-516
名称:Domain Controllers
说明:一个包括域中所有域控制器的全局组。默认情况下,新的域控制器将添加到该组中。
SIDS-1-5-domain-517
名称:Cert Publishers
说明:一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。
SIDS-1-5-root domain-518
名称:Schema Admins
说明:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下,该组的唯一成员是林根域的 Administrator 帐户。
SIDS-1-5-root domain-519
名称:Enterprise Admins
说明:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改,例如添加子域。默认情况下,该组的唯一成员是林根域的 Administrator 帐户。
SIDS-1-5-domain-520
名称:Group Policy Creator Owners
说明:一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下,该组的唯一成员是 Administrator
SIDS-1-5-domain-533
名称:RAS and IAS Servers
说明:域本地组。默认情况下,该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有读取帐户限制读取登录信息访问权限。默认情况下,该组没有成员。该组中的服务器对 Active Directory 中的 User 对象具有读取帐户限制读取登录信息访问权限。
SIDS-1-5-32-544
名称:Administrators
说明:内置组。初次安装操作系统后,该组的唯一成员是 Administrator 帐户。当计算机加入域时,Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时,Enterprise Admins 组也被添加到 Administrators 组中。
SIDS-1-5-32-545
名称:Users
说明:内置组。初次安装操作系统后,该组的唯一成员是 Authenticated Users 组。当计算机加入域时,Domain Users 组将被添加到计算机上的 Users 组中。
SIDS-1-5-32-546
名称:Guests
说明:内置组。默认情况下,该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。
SIDS-1-5-32-547
名称:Power Users
说明:内置组。默认情况下,该组没有成员。Power Users 可以创建本地用户和组,修改和删除以前创建的帐户,删除 Power UsersUsers Guests 组中的用户。Power Users 还可以安装程序,创建、管理和删除本地打印机以及创建和删除文件共享。
SIDS-1-5-32-548
名称:Account Operators
说明:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。默认情况下,Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户,Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators Domain Admins 组,也无权为那些组的成员修改帐户。
SIDS-1-5-32-549
名称:Server Operators
说明:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。Server Operators 可以以交互方式登录到服务器,创建和删除网络共享,启动和停止服务,备份和还原文件,格式化计算机的硬盘以及关闭计算机。
SIDS-1-5-32-550
名称:Print Operators
说明:一种只存在于域控制器上的内置组。默认情况下,该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。
SIDS-1-5-32-551
名称:Backup Operators
说明:内置组。默认情况下,该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件,无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。
SIDS-1-5-32-552
名称:Replicators
说明:一个由域控制器上的文件复制服务使用的内置组。默认情况下,该组没有成员。不要向该组中添加用户。
下列各组在某台 Windows Server 2003 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前,将一直显示为 SID。(操作主机也称作灵活的单主机操作或 FSMO。)在将 Windows Server 2003 域控制器添加到域中时,新建的其他内置组有:
SIDS-1-5-32-554
名称:BUILTIN\Pre-Windows 2000 Compatible Access
说明:Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。
SIDS-1-5-32-555
名称:BUILTIN\Remote Desktop Users
说明:一个别名。该组的成员被授予远程登录权限。
SIDS-1-5-32-556
名称:BUILTIN\Network Configuration Operators
说明:一个别名。该组的成员拥有管理网络功能配置的部分权限。
SIDS-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
说明:一个别名。该组的成员可以创建到该林的传入的单向信任。
SIDS-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
说明:一个别名。该组的成员可以创建到该林的传入的单向信任。
SIDS-1-5-32-558
名称:BUILTIN\Performance Monitor Users
说明:一个别名。该组的成员可以进行远程访问以监视此计算机。
SIDS-1-5-32-559
名称:BUILTIN\Performance Log Users
说明:一个别名。该组的成员可以进行远程访问,以便预定此计算机上性能计数器的日志。
SIDS-1-5-32-560
名称:BUILTIN\Windows Authorization Access Group
说明:一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。
SIDS-1-5-32-561
名称:BUILTIN\Terminal Server License Servers
说明:一个别名。终端服务器许可证服务器组。
这篇文章中的信息适用于:
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows XP Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional Edition
回到顶端
 




    文章评论
 
 

发表评论

昵   称:
验证码:  点击图片可刷新验证码  博客过2级,无需填写验证码
内   容: